Black Basta Ransomware黑客通过Qakbot向部署Brute Ratel C4渗透网络

在最近的攻击中，使用Qakbot木马部署Brute Ratel C4框架作为第二阶段有效载荷，观察到了黑Basta赎金家族背后的威胁行为体。

网络安全公司Trend Micro在上周发布的一项技术分析中表示，这一发展标志着新生的对手模拟软件首次通过Qakbot感染提供。

入侵，使用包含指向ZIP存档的武器化链接的钓鱼电子邮件实现，进一步需要使用钴打击进行横向移动。

虽然这些合法的实用程序是为了进行渗透测试活动而设计的，但它们提供远程访问的能力使它们成为攻击者手中的一个有利可图的工具，而攻击者则在不引起长时间注意的情况下偷偷地探测被破坏的环境。

Qakbot，又称QBot和QuackBot，是2007年以来活跃的信息窃取者和银行木马。但是它的模块化设计和它作为下载器的能力使它成为一个有吸引力的候选，以减少更多的恶意软件。

根据Trend Micro的说法，电子邮件中的ZIP文件包含一个ISO文件，该文件又包含一个获取Qakbot载荷的LNK文件，这说明在微软决定默认阻止从网络下载的文件的宏之后，部分威胁行为者试图适应其他策略。

Qakbot感染是通过检索Brute Ratel和Cobalt Strike而成功的，但在通过内置命令行工具arp、互联网协议、在Windows NT、Windows 2000中连接DNS服务器、netstat程序和whoami进行自动化侦察之前并没有成功。

然而，在威胁方采取任何恶意行动之前，攻击已经停止，尽管怀疑最终目标可能是部署全域勒索软件。

在网络安全公司发现的另一个Qakbot执行链中，ZIP文件是通过一种日益流行的HTML走私方法交付的，导致执行Brute Ratel C4作为第二阶段。

研究人员说，” Qakbot – to – Brute Ratel – to – Cobalt Strike杀死链与黑Basta Ransomware背后的群体有关。”这是基于在Black Basta袭击中观察到的重叠的TTP和基础设施。

这些发现与最近几个月Qakbot攻击卷土重来相吻合，其手段包括HTML文件附件、DLL旁加载和电子邮件线程劫持等多种技术，其中最后一项技术需要从针对Microsoft Exchange服务器的成功ProxyLogon攻击中批量收集电子邮件。

IcedID行动者交付方式多样化

Qakbot远远不是唯一一个通过ISO和其他文件格式来绕过宏限制的访问即服务恶意软件，因为Emotet、IcedID和熊蜂都遵循类似的轨迹。

派拓网络Unit 42在2022年9月下旬表示，它发现了一个用于传输IcedID (又名BokBot )恶意软件的恶意polyglot Microsoft Compiled HTML Help ( CHM )文件。

其他突出的交付方法和感染途径涉及使用密码保护的ZIP文件，其中包含一个ISO文件，反映了Qakbot的文件，根据Team Cymru的数据，有效载荷通过一个名为PrivateLoader的付费安装服务传播。

而且，最重要的是，在短短三个月的停顿之后，Emotet似乎准备好了一系列新的攻击，以重新设计其”系统信息”模块，以”改善特定受害者的目标，并将跟踪机器人与真实用户区分开来”，ESET在一系列的tweet中披露。

ESET威胁研究主管让-伊恩·布廷( Jean-Ian Boutin )告诉《黑客新闻》( The Hacker News )说，自7月份以来，我们还没有看到来自Emotet的新垃圾邮件浪潮。原因尚不清楚。

 “他们过去休息过，但从来没有这么长时间。也许这个新的模块意味着他们正在测试模块，并将在不久的将来再次活跃，但这都是猜测。“